% ------------------
% Bedrohungsszenarien
% ------------------
\section{Bedrohungsszenarien (P)}
\label{sec:Bedrohungsszenarien}
Für eine vollständige Sicherheitsbetrachtung müssten alle Bedrohungen aus dem Kapitel \ref{sec:Bedrohungsanalyse} tiefergehend analysiert werden. Im Folgenden werden exemplarisch zwei Bedrohungsszenarien genauer betrachtet.

In Abschnitt \ref{subsec:KorrupterMeister} wird als Ausgang der Bedrohung ein korrupter Meister angenommen und analysiert, welche Bedrohungen sich daraus ergeben können. 

In Abschnitt \ref{subsec:MitlesenDaten} hingegen wird ein Angriff auf die Integrität und Sicherheit der zwischen Auto und Werkstatt übertragenen Daten betrachtet.

% ------------------
% Bedrohung: Korrupter Meister
% ------------------
\subsection{Korrupter Meister}
\label{subsec:KorrupterMeister}
Es besteht die Möglichkeit, dass sich ein Meister korrumpieren lässt und seine Stellung innerhalb der Werkstatt ausnutzt. Von dieser Annahme ausgehend, sind folgende Bedrohungen denkbar.

\begin{figure}[H]
	\centering
	\includegraphics[width=1.0\textwidth]{Bedrohung_Korrupter_Meister.pdf}
	\caption{Bedrohung: Korrupter Meister}
	\label{fig:Bedrohung_Korrupter_Meister}
\end{figure}

%\begin{center}
%	\includegraphics[width=1.0\textwidth]{Bedrohung_Korrupter_Meister.pdf}
%	\captionof{figure}{Bedrohung: Korrupter Meister}
%	\label{fig:Bedrohung_Korrupter_Meister}
%\end{center}

\subsubsection*{Bedrohung 1.1: Bedrohung der Software}
\paragraph*{Bedrohung 1.1.1: Austausch der Fernwartsoftware}
Ein korrupter Meister könnte die Software zur Durchführung der Fernwartung austauschen und so z.B. erreichen, dass mehr Daten ausgelesen werden, als für die Fernwartung erforderlich wären.

\paragraph*{Bedrohung 1.1.2: Austausch der Softwareupdates}
Durch einen Austausch der Softwareupdates, die bei einer Fernwartung an die Autos übertragen werden sollen, ließen sich z.B. vom Hersteller auferlegte Regulierungen umgehen. Zum Beispiel könnte die Software des Navigationssystems so verändert werden, dass sie nicht nur die Original-DVDs akzeptiert, sondern auch DVDs, die der Fahrzeughalter illegal bezogen hat. Dies hätte Umsatzeinbußen für den Hersteller zur Folge.

\paragraph*{Bedrohung 1.1.3: Verkauf der Softwareupdates}
Die Softwareupdates könnten an die Konkurrenz verkauft werden, welche diese wiederum per Reverse-Engineering analysieren lassen könnte und somit erfahren würde, welche Vorgänge bei einer Fernwartung durchgeführt werden.

\subsubsection*{Bedrohung 1.2: Bedrohung der Daten}
\paragraph*{Bedrohung 1.2.1: Erstellung von Profilen}
Durch Auswertung der Daten, die bei einer Fernwartung an das Wartungssystem übermittelt werden, können Profile von den einzelnen Fahrzeugen und somit indirekt vom jeweiligen Fahrzeughalter erstellt werden. Durch Veränderung der Wartungssoftware (siehe Bedrohung 1.1.1) lassen sich detailliertere Profile erstellen.

\subparagraph*{Bedrohung 1.2.1.1: Verkauf der Profile}
Die in Bedrohung 1.2.1 erstellen Profile könnten an Datensammler verkauft werden, die dann wiederum z.B. anhand der Bewegungsdaten aus dem Navigationssystem Werbung auf den Fahrzeughalter zuschneiden können. 

\paragraph*{Bedrohung 1.2.2: Verkauf der Daten an die Konkurrenz}
Die Daten, die während einer Fernwartung anfallen, könnten für die Konkurrenz des Herstellers von großem Interesse sein, da diese so herausfinden können, was der Hersteller bei einer Fernwartung überprüft.

\subsubsection*{Bedrohung 1.3: Erpressung}
\paragraph*{Bedrohung 1.3.1: Erpressung des Herstellers}
Ein Hersteller könnte von einem Meister erpresst werden, indem dieser dem Hersteller damit droht, während einer Fernwartung ausgelesene Daten an die Konkurrenz zu verkaufen (siehe Bedrohung 1.2.2).

\paragraph*{Bedrohung 1.3.2: Erpressung des Fahrzeughalters}
Ein korrupter Meister könnte ein Fahrzeug in einen fehlerhaften Zustand versetzen (oder nur so tun) und den Kunden dahingehend erpressen, dass er den Fehler nur behebt, wenn dieser ihm eine gewisse Summe zahlt.

% ------------------
% Bedrohung: Entschlüsseln der zwischen Auto und Werkstatt übertragenen Daten
% ------------------
\subsection{Lesen der zwischen Auto und Werkstatt übertragenen Daten}
\label{subsec:MitlesenDaten}
Im folgenden Szenario werden die Daten, die zwischen einem Auto und der Werkstatt übertragen werden, entschlüsselt und somit gleich mehrere Schutzziele verletzt. Unter anderem sind dies sowohl die Datenintegrität, als auch der Datenschutz.

Zum Lesen der Daten ist es notwendig, dass der Angreifer sowohl Daten mitschneidet (Bedrohung 2.1), als auch, dass er die mitgeschnittenen Daten dechiffriert (Bedrohung 2.2). Für beide Bedrohungen sind im folgenden Bedrohungsbaum (Abbildung \ref{fig:Bedrohung_Lesen_der_Daten}) mehrere denkbare Varianten aufgeführt.
\begin{figure}[H]
	\centering
	\includegraphics[width=1.0\textwidth]{Bedrohung_Lesen_der_Daten.pdf}
	\caption{Bedrohung: Lesen der zwischen Auto und Werkstatt übertragenen Daten}
	\label{fig:Bedrohung_Lesen_der_Daten}
\end{figure}

%\begin{center}
%	\includegraphics[width=1.0\textwidth]{Bedrohung_Lesen_der_Daten.pdf}
%	\captionof{figure}{Entschlüsseln der zwischen Auto und Werkstatt übertragenen Daten}
%	\label{fig:Bedrohung_Lesen_der_Daten}
%\end{center}

\subsubsection*{Bedrohung 2.1: Mitschneiden der übertragenen Daten}
\paragraph*{Bedrohung 2.1.1: Schadcode}
Mittels Schadcode könnte ein Wartungsrechner dazu veranlasst werden, sämtliche Daten die von einem Auto kommen oder an dieses gesendet werden sollen ebenfalls an den Angreifer zu senden.

\paragraph*{Bedrohung 2.1.2: Paket-Sniffing}
Angenommen, der Wartungsrechner in der Werkstatt ist per WLAN mit dem Internet verbunden und der Angreifer hat Zugang zu dem WLAN\footnote{Z.B. durch Knacken des Passwortes} könnte er die Pakete, die der Wartungsrechner an das Auto sendet, mitlesen.

\paragraph*{Bedrohung 2.1.3: Man-In-The-Middle-Angriff}
Denkbar wäre ein Man-In-The-Middle-Angriff, bei dem ein Angreifer sämtlichen Datenverkehr zwischen Auto und Werkstatt über sich umlenkt, indem er z.B. vorgibt ein Mobilfunkmast zu sein, sich das Auto über ihn ins Internet einwählt und er die Daten an die Werkstatt weiterleitet. Somit erhält der Angreifer die Möglichkeit den Verkehr mitzuschneiden.

\subsubsection*{Bedrohung 2.2: Dechiffrieren der übertragenen Daten}
\paragraph*{Bedrohung 2.2.1: Kryptoanalyse}
Mittels Kryptoanalyse und den mitgeschnitten Daten kann der Angreifer versuchen, dass Verschlüsselungsverfahren zu knacken.

\paragraph*{Bedrohung 2.2.1.1: Ausnutzung von Schwachstellen der Verschlüsselung}
Ist dem Angreifer das Verschlüsselungsverfahren bekannt, kann er unter Ausnutzung bekannter Schwachstellen versuchen an die Klartextnachrichten zu gelangen. 

\paragraph*{Bedrohung 2.2.2: Schlüsselbeschaffung}
Eine weitere Möglichkeit bietet sich dem Angreifer, indem er versucht an den Schlüssel, der bei der Verschlüsselung benutzt wurde, zu gelangen. Mit diesem Schlüssel kann er die übertragenen Daten anschließend entschlüsseln.

\paragraph*{Bedrohung 2.2.2.1: Zugriff auf Diagnose-Bus im Auto}
Hat der Angreifer direkten Zugriff auf den Diagnose-Bus des Autos, könnte er mit Hilfe von spezieller Software den Schlüssel aus dem Speicher des Autos auslesen.

\paragraph*{Bedrohung 2.2.2.2: Zugriff auf Werkstatt-Rechner}
Hat der Angreifer Zugriff auf den Werkstatt-Rechner\footnote{Es spielt hierbei keine Rolle, ob der Zugriff lokal oder entfernt z.B. mittels Schadsoftware erfolgt} kann er mit entsprechendem Know-How den Schlüssel auslesen.

\paragraph*{Bedrohung 2.2.2.3: Zugriff auf Verfahren der Schlüsselvergabe}
Am sinnvollsten für den Angreifer wäre es, in das Verfahren zur Schlüsselerzeugung und -verteilung beim Hersteller einzudringen. Gelingt ihm dieses, erhält er Zugriff auf sämtliche Schlüssel (sowohl für die Werkstätten, als auch für die Autos) eines Herstellers.

\paragraph*{Bedrohung 2.2.2.4: Brute-Force}
Der Angreifer kann darauf hoffen, dass er den Schlüssel, mit dem die Daten verschlüsselt wurden, mittels Brute-Force, also Ausprobieren aller möglichen Schlüssel, herausbekommen kann.